Критика към Microsoft след премахването на прототип на експлойт за Microsoft Exchange от GitHub

Microsoft премахна от GitHub кода (копието) с експлойт на прототип, демонстриращ принципа на работа на критична уязвимост в Microsoft Exchange. Това действие предизвика възмущение сред много изследователи по сигурността, тъй като прототипът на експлойта беше публикуван след пускането на корекцията, което е обичайна практика.

Правилата на GitHub съдържат клауза, забраняваща поставянето на активен злонамерен код или експлойти (т.е. атакуващи потребителски системи) в хранилища, както и използването на GitHub като платформа за доставяне на експлойти и злонамерен код по време на атаки. Но това правило не е било прилагано преди това към хоствани от изследователи прототипи на кодове, публикувани за анализ на методите за атака, след като доставчик пусне корекция.

Тъй като такъв код обикновено не се премахва, действията на GitHub бяха възприети като използване на административни ресурси на Microsoft, за да блокира информация за уязвимостта в своя продукт. Критиците обвиниха Microsoft в двойни стандарти и цензуриране на съдържание от голям интерес за общността за изследване на сигурността, просто защото съдържанието вреди на интересите на Microsoft. Според член на екипа на Google Project Zero практиката за публикуване на експлойт прототипи е оправдана и ползата надвишава риска, тъй като няма начин резултатите от изследването да се споделят с други специалисти, без тази информация да попадне в ръцете на нападателите.

Изследовател от Kryptos Logic се опита да възрази, като посочи, че в ситуация, в която все още има повече от 50 хиляди неактуализирани сървъра на Microsoft Exchange в мрежата, публикуването на експлойт прототипи, готови за атаки, изглежда съмнително. Вредата, която ранното публикуване на експлойти може да причини, надвишава ползата за изследователите по сигурността, тъй като такива експлойти разкриват голям брой сървъри, които все още не са актуализирани.

Представители на GitHub коментираха премахването като нарушение на правилата за приемлива употреба на услугата и заявиха, че разбират важността на публикуването на експлойт прототипи за изследователски и образователни цели, но също така признават опасността от щети, които те могат да причинят в ръцете на нападателите. Затова GitHub се опитва да намери оптималния баланс между интересите на общността за изследване на сигурността и защитата на потенциалните жертви. В този случай публикуването на експлойт, подходящ за извършване на атаки, при условие че има голям брой системи, които все още не са актуализирани, се счита за нарушаване на правилата на GitHub.

Трябва да се отбележи, че атаките започнаха през януари, много преди пускането на корекцията и разкриването на информация за наличието на уязвимостта (0-ден). Преди да бъде публикуван прототипът на експлойта, вече са били атакувани около 100 хиляди сървъра, на които е инсталирана задна врата за дистанционно управление.

Отдалечен експлойт прототип на GitHub демонстрира уязвимостта CVE-2021-26855 (ProxyLogon), която позволява данните на произволен потребител да бъдат извлечени без удостоверяване. Когато се комбинира с CVE-2021-27065, уязвимостта също позволява кодът да бъде изпълнен на сървъра с администраторски права.

Не всички експлойти са премахнати; например, опростена версия на друг експлойт, разработен от екипа на GreyOrder, все още остава в GitHub. В бележката за експлойта се посочва, че оригиналният експлойт на GreyOrder е премахнат, след като към кода е добавена допълнителна функционалност за изброяване на потребителите на пощенския сървър, което може да се използва за извършване на масови атаки срещу компании, използващи Microsoft Exchange.

Източник: opennet.ru